(19)国家知识产权局 (12)发明 专利 (10)授权公告 号 (45)授权公告日 (21)申请 号 202210392283.3 (22)申请日 2022.04.15 (65)同一申请的已公布的文献号 申请公布号 CN 114499898 A (43)申请公布日 2022.05.13 (73)专利权人 北京邮电大 学 地址 100876 北京市海淀区西土城路10号 (72)发明人 刘霄　马兆丰　张宇青　段鹏飞　 翟志斌　 (74)专利代理 机构 北京金咨知识产权代理有限 公司 11612 专利代理师 薛海波 (51)Int.Cl. H04L 9/32(2006.01)(56)对比文件 CN 113420090 A,2021.09.21 审查员 文娟 (54)发明名称 一种区块链跨链安全接入方法及装置 (57)摘要 本发明提供一种区块链跨链安全接入方法 及装置， 引入中继链作为媒介实现多个同构或异 构链之间的跨链交易， 在跨链接入 过程中引入身 份认证和跨链交易合法性认证， 以源链端多节点 网关和目的链端多节点网关对用户身份进行两 级证明， 通过中继链对跨链交易的合法性进行认 证， 增强跨链接入安全性。 应用链、 多节点网关和 中继链在通信过程中， 采用一次性会话密钥进行 加密， 能够极大降低密钥管理复杂度， 降低安全 风险。 同时， 采用多节点网关能够提升容错能力， 防止网络攻击。 通过引入第一设定跨链传输协议 和第二设定跨链传输协议， 构成完整的跨链通信 协议， 实现异构链之间的通信， 提高安全性， 并保 证有效的跨链接入。 权利要求书3页 说明书16页 附图3页 CN 114499898 B 2022.09.09 CN 114499898 B 1.一种区块链跨链安全接入方法， 其特征在于， 所述方法用于在多个应用链和至少一 个中继链之间运行， 各应用链通过多节点网关连接所述中继链， 并采用一次性会话密钥进 行通信， 所述方法包括： 用户向第一应用链发送对第二应用链的跨链交易申请； 所述第一应用链基于所述跨链 交易申请向所述中继链请求并获取一级身份凭证； 所述 一级身份凭证至少包含采用第一设定规则加密的用户身份标识、 用户地址、 第一应用链身 份标识、 第二应用链身份标识、 所述一级身份凭证对应的时间戳和有效期； 所述第一设定规 则为利用第一应用链与第一多节点网关之间的一次性会话密钥进行加密； 所述第一应用链将所述一级身份凭证发送至服务所述第一应用链的第一多节点网关 进行验证并请求跨链交易， 所述第一多节点网关验证合法后生成二级身份凭证和交易信 息， 并基于第一设定跨链传输协议发送至所述中继链； 所述二级身份凭证至少包含采用第 二设定规则加密的用户身份标识、 用户地址、 所述二级身份凭证对应的时间戳和有效期； 所 述第二设定规则为采用第一多节点网关与中继链之间的一次性会话密钥进行加密； 所述中继链对所述跨链交易进行合法性和存在性认证， 在认证正确的情况下， 向第二 多节点网关转发所述 二级身份凭证和所述交易信息； 所述第二多节点网关对接收到的所述二级身份凭证中的用户身份标识进行合法性认 证， 在认证合法的情况下， 将接收到的所述交易信息基于第二设定传输协议发送至所述第 二应用链， 由所述第二应用链执 行跨链交易并上链存 储。 2.根据权利要求1所述的区块链跨链安全接入方法， 其特征在于， 用户向第 一应用链发 送对第二应用链的跨链交易申请之前， 还 包括： 在所述中继链中对所述用户、 所述第一应用链和/或所述第二应用链的身份信息进行 预注册， 以用于所述中继链在所述 跨链交易过程中进行身份授权 。 3.根据权利要求2所述的区块链跨链安全接入方法， 其特征在于， 所述中继链设置密钥 分发中心， 所述密钥分发中心包括用于身份认证的认证服务器和用于身份凭证颁 发的授权 服务器； 所述第一应用链基于所述跨链交易申请向所述中继链请求并获取一级身份凭证， 包 括： 由所述用户通过所述第 一应用链向所述认证服务器发送第 一认证请求信 息， 所述第 一 认证请求信息至少包括用户身份标识、 所述第一应用链身份标识、 所述第二应用链身份标 识、 所述授权服 务器身份标识以及所述第一认证请求信息的时间戳； 所述认证服务器根据所述第一认证请求信息以及本地预注册的合法用户信息对所述 用户进行身份合法性认证， 在认证合法的情况下将通过所述第一应用链向所述用户反馈加 密后的授权服务器凭证， 所述授权服务器凭证至少包括所述用户身份标识、 用户地址、 所述 第一应用链身份标识、 所述第二应用链身份标识、 所述授权服务器身份标识、 所述授权服务 器凭证的时间戳以及所述认证服 务器生成的所述用户与所述授权服 务器间的会话密钥； 所述用户解密加密后的所述授权服务器凭证获取所述授权服务器凭证， 并通过所述第 一应用链向所述授权服务器发送第二认证请求信息， 所述第二认证请求信息至少包含第一 多节点网关身份标识、 所述授权服务器凭证以及第一用户认证消息， 所述第一用户认证消 息至少包括加密后的所述用户身份标识、 所述用户地址信息、 所述第一应用链身份标识、 所权　利　要　求　书 1/3 页 2 CN 114499898 B 2述第二应用链身份标识以及所述第一用户认证消息的时间戳； 所述授权服务器对所述第二认证请求进行解密， 以获取所述第一用户认证消息； 根据 所述第一用户认证消息的时间戳判断所述第一用户认证消息是否有效， 若有效则生成一级 身份凭证并通过所述第一应用链反馈至所述用户； 所述一级身份凭证至少包括加密后的所 述用户身份标识、 所述用户地址信息、 所述第一应用链身份标识、 所述第二应用链身份标 识、 所述一级身份凭证的时间戳、 有效期以及所述授权服务器生成的所述用户与所述第一 多节点网关间的会话密钥。 4.根据权利要求3所述的区块链跨链安全接入方法， 其特征在于， 所述第 一应用链将所 述一级身份凭证发送至服务所述第一应用链的第一多节点网关进 行验证并请求跨链交易， 包括： 由所述用户通过所述第 一应用链向所述第 一多节点网关发送第 三认证请求， 所述第 三 认证请求包括所述一级身份凭证、 第二用户认证消息和跨链信息， 所述第二用户认证消息 包括采用所述用户与所述第一多节点网关间的会话密钥加密的所述用户身份标识、 所述用 户地址信息、 所述第一应用链身份标识、 所述第二应用链身份标识以及所述第二用户认证 消息的时间戳； 所述 跨链信息 至少包括交易内容； 所述第一多节点网关解密所述第 三认证请求获取所述一级身份凭证、 所述第 二用户认 证消息和所述跨链信息， 从所述一级身份凭证中获取所述用户与所述第一多节点网关间的 会话密钥； 采用所述用户与所述第一多节点网关 间的会话密钥解密所述第一用户认证消息 并验证合法性， 在验证合法的情况 下通过所述第一应用链向所述用户返回反向认证信息； 所述第一多节点网关基于所述一级身份凭证和所述跨链信息中的所述交易内容生成 所述二级身份凭证和所述交易信息， 并基于第一设定跨链传输协议发送至所述中继链； 其中， 所述 二级身份凭证至少包括用户身份合法性证明字段。 5.根据权利要求4所述的区块链跨链安全接入方法， 其特征在于， 所述中继链对所述跨 链交易进行共识 认证和合法性认证之前， 还 包括： 通过所述中继链中的多个验证节点对所述跨链 交易进行验证签名， 并构建梅克尔 树存 储梅克尔证明以对所述 跨链交易进行存在性认证。 6.根据权利要求4所述的区块链跨链安全接入方法， 其特征在于， 所述多节点网关分别 独立部署账户管理中心， 以存 储合法用户的身份标识用于验证； 所述第二多节点网关对接收到的所述二级身份凭证中的用户身份标识进行合法性认 证， 包括： 获取所述二级身份凭证中的所述用户身份合法性证明字段， 并与所述第二多节 点 网关内部署的账户管 理中心记载的合法用户的身份标识进 行比对， 若存在一致的记录则判 断合法， 否则不 合法。 7.根据权利要求1所述的区块链跨链安全接入方法， 其特征在于， 所述第 二应用链执行 所述跨链交易并上链存 储之后， 还 包括： 由所述第二多节点网关监听所述跨链交易， 在成功上链后， 获取所述跨链交易的交易 存在性证明， 并返回所述中继链； 所述中继链根据 所述交易存在性证明处理生成交易 回执， 并返回至所述第 一应用链和 所述第二应用链。 8.根据权利要求7所述的区块链跨链安全接入方法， 其特征在于， 所述中继链根据 所述权　利　要　求　书 2/3 页 3 CN 114499898 B 3